"Bug Bounty Programm" in der Kritik
Sicherheitsforscher kritisieren Apples Umgang mit gemeldeten Sicherheitslücken
Die Washington Post lässt Apple in einem Bericht über den Umgang mit gemeldeten Sicherheitslücken schlecht dastehen. Die Vorwürfe wiegen schwer, so behebe Apple gemeldete Fehler nicht nur langsam, sondern zahle den Sicherheitsforschern auch nicht immer das, was ihnen ihrer Meinung nach zusteht. Untermauert werden die Anschuldigungen durch Aussagen von Betroffenen und mit der Angelegenheit vertrauten Personen.
Nach einem zögerlichen Start vor fünf Jahren hat Apple im Jahr 2019 angekündigt, für entdeckte und gemeldete Sicherheitslücken bis zu einer Million Dollar auszuzahlen. In der Branche kennt man dergleichen unter der Bezeichnung Bug-Bounty-Programm. Üppige Prämien sollen Sicherheitsforscher und Hacker dazu verleiten, ihr Wissen über Schwachstellen mit dem Hersteller zu teilen, anstelle die Sicherheitslücken auf dem Schwarzmarkt anzubieten.
Apples Bug-Bounty-Prämien (Bild: Lorenzo Franceschi-Bicchierai)
Apple sah sich lange Zeit in der Kritik, hier zu wenig Anreize zu schaffen und in der Folge die eigenen Kunden zu gefährden. Auf dem Schwarzmarkt angebotene Schwachstellen bilden häufig die Grundlage für Malware oder werden gar für Spionage-Tools verwendet.
Die Washington Post hat nun mehr als zwei Dutzend Sicherheitsforscher zum Thema befragt. In den Interviews kommt Apple nicht zuletzt auch aufgrund seiner Geheimhaltungspolitik verglichen mit der Konkurrenz schlecht weg. Während Firmen wie Facebook, Microsoft oder Google aktiv über ihre Anstrengungen und Angebote in diesem Bereich informieren und nicht nur lobenswerte Worte für die partizipierenden Sicherheitsforscher finden, sondern auch konkret über die ausgezahlten Prämien informieren, herrscht bei Apple Funkstille.
Doch Apple sieht sich darüber hinaus mit ernst zu nehmenden Vorwürfen konfrontiert. So sei das Unternehmen mit Blick auf die Behebung von Sicherheitslücken massiv im Rückstand. Dies bestätigen Apple-Mitarbeiter ebenso wie die Fehler meldende Sicherheitsforscher. Selbst akute und gefährliche Schwachstellen würden teils über Monate hinweg nicht korrigiert. Ein Sicherheitsforscher wurde sogar aus Apples Entwicklerprogramm geworfen, nachdem er weil Apple einen von ihm gemeldeten Fehler über Monate hinweg nicht korrigiert hat, Informationen dazu veröffentlicht hatte.
Nimmt man dann noch zur Kenntnis, dass etliche der Entdecker solcher Schwachstellen von Apple gar keine oder nur deutlich unter den in Aussicht gestellten Summen liegende Belohnungen erhalten, verwundert es nicht, dass sich einige der Experten nach anderen Einnahmequellen umsehen. Auf dem Schwarzmarkt wechseln solche Informationen für ein Vielfaches mehr den Besitzer.
Apple kann – zumindest wenn man das Statement des Herstellers gegenüber der Washington Post betrachtet – die Kritik nicht ansatzweise nachvollziehen. Ivan Krstić, der Leiter von Apples Abteilung für „Security Engineering and Architecture“,sieht das Bug Bounty Programm als vollen Erfolg. Apple habe den Betrag, der in diesem Jahr gezahlt wurde, im Vergleich zum Vorjahr fast verdoppelt und sei branchenweit führend, was den durchschnittlichen Betrag pro Bounty angeht.
Apple gehört zu den Guten. Und ist durch und durch sympathisch!
Ironie, nicht wirklich erkenntlich.
Wenn nicht: wäre meine Frage seit wann gehören „die“ den zu den Guten..
„Was ihnen ihrer Meinung nach zusteht“ …
Das ist halt nen dehnbarerer Begriff. Ich bin auch der Meinung mir steht mehr zu als mein Chef bezahlt, es interessiert ihn dennoch nicht xD
Müssen wie halt ne Rechnung an Apple schreiben xD
Naja, wenn du vergleichsweise das 5 fache vom Kunden bezahlt bekommst, wenn du es privat (und trotzdem mit Rechnung, also nicht schwarz) machst und das halt eher der Standard ist, dann kann dein Chef das irgendwann auch nicht mehr ignorieren (bzw. du wärst ziemlich dumm, dann deine Leistung nur für deinen Chef zur Verfügung zu stellen). Hier wird zwar vom „Schwarzmarkt“ geredet. Sicherheitsfirmen kaufen diese Beraterleistungen jedoch ganz offiziell ein und schreiben den Bounty Huntern dafür auch ganz normale Rechnungen. Wenn Apple hier nicht als interessanter Kunde auftreten will, ist das am Ende unser Problem.
Weshalb ist Apple in der Pflicht xD sie zahlen immernoch genug für ne Lücke und wenn jemand der Meinung ist andere zahlen mehr, was wohl nicht der Fall ist, sonst würde man ja dennoch nicht zu Apple gehen ;)
Naja, es gibt ja Leute denen Moral mehr bedeutet als ein Plus an Gewinn. Dass der Rest Quatsch ist, zeigt doch allein die aktuelle Situation mit der israelischen Firma *hust hust* welche ja anscheinend schon die nächste Lücke „gefunden“(gekauft) hat.
Gesundes Selbstbewusstsein ist zwar gut, dafür aber blind alle Fakten zu ignorieren allerdings nicht.
Die Argumente sind ja mal wieder super! Es ist so weil es so ist Argument..
Na scheinbar zahlt Apple nicht genug.. und die die dennoch zu Apple gegangen sind haben entweder
* keine Kontakte
* oder doch noch sowas wie in Gewissen
Der Artikel war für @veno usw.
Ich sehe hier Apple in der Pflicht. Warum soll ich, der diese Schwachstelle/Lücke aufgedeckt hat, als Bitsteller auftreten? Wenn andere mehr bezahlen, dann bekommt die Info jemand anderer. Scheinbar sitzt Apple auch hier auf einem hohen Ross und erwartet das der Berg zum Propheten kommt. ;-
Anscheinend zahlen andere aber nicht mehr, also zahlt Apple wohl noch genug, sonst würden sie es genauso machen ;)
Woher weist du das? Ich würde es nicht an die große Glocke hängen, wenn ich sowas im Darknet anbieten würde.
Auf der anderen Seite gibt es genug „Patrioten“ die für Apple auch umsonst Nächtelang nach Schwachstellen suchen. Denen reichen schon warme Worte von Tim.
Wie gesagt. Ich würde es dem geben, der mir das beste Angebot macht.
Ich denke der Fakt das derzeit gut funktionierende Sicherheitslücken für Android deutlich „begehrter“ sind als für iOS, sagt schon viel aus. Das brechen von iOS und macOS ist derzeit(!) so einfach, das da einfach kein Bedarf besteht.
Kommt gut in’s Wochende…
Ich würde nicht sagen einfacher, allerdings scheint android mittlerweile finanziell mehr Anreize zu bieten. Denn wenn Google hier mit offenen Karten spielt treibt das natürlich auch die Preise bei sicherheitsfirmen hoch (warum sollte ich die moralische Lösung mit gutem Geld ausschlagen, wenn die nicht ganz so moralische Lösung nicht entsprechend mehr abwirft. Man will ja trotzdem noch gut schlafen).
Zynismus ein:
Warum soll Apple überhaupt dafür bezahlen Sicherheitslücken zu schließen, wenn sie seit iOS 14.x daran arbeiten ein iSPY zu entwickeln…
Apple bekommt langsam ein Image-Problem! Die Sicherheit leidet und dann dazu eben noch sowas wie Fotoscan auf dem Gerät. Bitte nun keine Diskussion darüber ob da nun Foto-Cloud für aktiv sein muss. FAKT: Der Scan findet auf den Gerät statt und es befindet sich ein Tool dafür auf JEDEM Gerät, welches dann auch via Sicherheitslücke ausgenutzt werden könnte.
Es geht nämlich bei der Diskussion nicht darum, was statt findet, sondern was möglich wäre!!!
Cool, Apple hat die Auszahlung verdoppelt. Statt an 1 wurde nun an 2 fast nix ausgezahlt. Glückwunsch Apple.